Kustomisasi akun

AFT dapat menerapkan konfigurasi standar atau khusus di akun yang disediakan. Di akun manajemen AFT, AFT menyediakan satu pipeline untuk setiap akun. Dengan pipeline ini, Anda dapat menerapkan penyesuaian di semua akun, dalam satu set akun, atau di akun individual. Anda dapat menjalankan skrip Python, skrip bash, dan konfigurasi Terraform, atau Anda dapat berinteraksi dengan AWS CLI sebagai bagian dari tahap penyesuaian akun Anda.

Ikhtisar

Setelah kustomisasi Anda ditentukan dalam git repositori pilihan Anda, baik tempat Anda menyimpan penyesuaian global atau tempat Anda menyimpan penyesuaian akun, tahap penyesuaian akun diselesaikan secara otomatis oleh pipeline AFT. Untuk menyesuaikan akun secara surut, lihatMemanggil kembali kustomisasi.

Kustomisasi global (opsional)

Anda dapat memilih untuk menerapkan penyesuaian tertentu ke semua akun yang disediakan oleh AFT. Misalnya, jika Anda perlu membuat peran IAM tertentu, atau menerapkan kontrol kustom di setiap akun, tahap penyesuaian global dalam pipeline AFT memungkinkan Anda melakukannya, secara otomatis.

Kustomisasi akun (opsional)

Untuk menyesuaikan akun individual, atau satu set akun, secara berbeda dari akun yang disediakan AFT lainnya, Anda dapat memanfaatkan bagian penyesuaian akun dari pipeline AFT untuk menerapkan konfigurasi khusus akun. Misalnya, hanya akun tertentu yang mungkin memerlukan akses ke gateway internet.

Prasyarat kustomisasi

Sebelum Anda mulai menyesuaikan akun, pastikan prasyarat ini sudah ada.

• AFT yang sepenuhnya dikerahkan. Untuk informasi tentang cara menerapkan, lihatKonfigurasikan dan luncurkan AWS Control Tower Account Factory untuk Terraform.

• gitRepositori terisi sebelumnya untuk penyesuaian global dan penyesuaian akun di lingkungan Anda. Lihat Langkah 3: Isi setiap repositori Langkah-langkah pasca-penerapan untuk informasi lebih lanjut.

Terapkan kustomisasi global

Untuk menerapkan penyesuaian global, Anda harus mendorong struktur folder tertentu ke repositori pilihan Anda.

• Jika konfigurasi kustom Anda dalam bentuk program atau skrip Python, letakkan di bawah folder api_helpers/python di repositori Anda.

• Jika konfigurasi kustom Anda dalam bentuk skrip Bash, letakkan di bawah folder api_helpers di repositori Anda.

• Jika konfigurasi khusus Anda dalam bentuk Terraform, letakkan di bawah folder terraform di repositori Anda.

• Lihat file README kustomisasi global untuk detail selengkapnya tentang membuat konfigurasi kustom.

catatan

Kustomisasi global diterapkan secara otomatis, setelah tahap kerangka kerja penyediaan akun AFT di pipeline AFT.

Terapkan kustomisasi akun

Anda dapat menerapkan penyesuaian akun dengan mendorong struktur folder tertentu ke repositori pilihan Anda. Kustomisasi akun diterapkan secara otomatis di pipeline AFT dan setelah tahap penyesuaian global. Anda juga dapat membuat beberapa folder yang berisi penyesuaian akun yang berbeda di repositori penyesuaian akun Anda. Untuk setiap penyesuaian akun yang Anda butuhkan, gunakan langkah-langkah berikut.

Untuk menerapkan kustomisasi akun

1. Langkah 1: Buat folder untuk kustomisasi akun

   Di repositori pilihan Anda, salin ACCOUNT_TEMPLATE folder yang disediakan AFT ke folder baru. Nama folder baru Anda harus sesuai dengan account_customizations_name yang Anda berikan dalam permintaan akun Anda.

2. Tambahkan konfigurasi ke folder kustomisasi akun spesifik Anda

   Anda dapat menambahkan konfigurasi ke folder penyesuaian akun Anda berdasarkan format konfigurasi Anda.

   • Jika konfigurasi kustom Anda dalam bentuk program atau skrip Python, letakkan di bawah folder [account_customizations_name] /api_helpers/python yang ada di repositori Anda.

   • Jika konfigurasi kustom Anda dalam bentuk skrip Bash, letakkan di bawah folder [account_customizations_name] /api_helpers yang ada di repositori Anda.

   • Jika konfigurasi khusus Anda dalam bentuk Terraform, letakkan di bawah folder [account_customizations_name] /terraform yang ada di repositori Anda.

   Untuk informasi selengkapnya tentang membuat konfigurasi kustom, lihat file README penyesuaian akun.

3. Lihat account_customizations_name parameter spesifik dalam file permintaan akun

   File permintaan akun AFT menyertakan parameter inputaccount_customizations_name. Masukkan nama kustomisasi akun Anda sebagai nilai untuk parameter ini.

catatan

Anda dapat mengirimkan beberapa permintaan akun untuk akun di lingkungan Anda. Bila Anda ingin menerapkan kustomisasi akun yang berbeda atau serupa, tentukan kustomisasi akun menggunakan parameter account_customizations_name input dalam permintaan akun Anda. Untuk informasi selengkapnya, lihat Mengirimkan beberapa permintaan akun.

Memanggil kembali kustomisasi

AFT menyediakan cara untuk memanggil kembali penyesuaian di pipeline AFT. Metode ini berguna ketika Anda telah menambahkan langkah penyesuaian baru, atau ketika Anda membuat perubahan pada kustomisasi yang ada. Saat Anda memanggil ulang, AFT memulai pipeline penyesuaian untuk membuat perubahan pada akun yang disediakan AFT. event-source-based Pemanggilan ulang memungkinkan Anda untuk menerapkan penyesuaian ke akun individual, ke semua akun, ke akun sesuai dengan OU mereka, atau ke akun yang dipilih sesuai dengan tag.

Ikuti tiga langkah ini untuk mengaktifkan kembali penyesuaian untuk akun yang disediakan AFT.

Langkah 1: Dorong perubahan ke repositori kustomisasi git global atau akun

Anda dapat memperbarui penyesuaian global dan akun sesuai kebutuhan dan mendorong perubahan kembali ke repositori Andagit. Pada titik ini, tidak ada yang terjadi, Pipa penyesuaian harus dipanggil oleh sumber acara, seperti yang dijelaskan dalam dua langkah berikutnya.

Langkah 2: Mulai AWS Step Function untuk menjalankan kembali kustomisasi

AFT menyediakan AWS Step Function yang disebut aft-invoke-customizations di akun manajemen AFT. Tujuan dari fungsi itu adalah untuk memanggil kembali pipeline kustomisasi untuk akun yang disediakan AFT.

Berikut adalah contoh skema acara (format JSON) yang dapat Anda buat untuk meneruskan input ke aft-invoke-customizations AWS Step Function.

{
  "include": [
    {
      "type": "all"
    },
    {
      "type": "ous",
      "target_value": [ "ou1","ou2"]
    },
    {
      "type": "tags",
      "target_value": [ {"key1": "value1"}, {"key2": "value2"}]
    },
    {
      "type": "accounts",
      "target_value": [ "acc1_ID","acc2_ID"]
    }
  ],

  "exclude": [
    {
      "type": "ous",
      "target_value": [ "ou1","ou2"]
    },
    {
      "type": "tags",
      "target_value": [ {"key1": "value1"}, {"key2": "value2"}]
    },
    {
      "type": "accounts",
      "target_value": [ "acc1_ID","acc2_ID"]
    }
  ]
}

Contoh skema acara menunjukkan bahwa Anda dapat memilih akun untuk disertakan atau dikecualikan dari proses pemanggilan ulang. Anda dapat memfilter berdasarkan unit organisasi (OU), tag akun, dan ID akun. Jika Anda tidak menerapkan filter apa pun dan menyertakan pernyataan"type":"all", penyesuaian untuk semua akun yang disediakan AFT akan dipanggil kembali.

catatan

Jika versi AWS Control Tower adalah 1.6.5 atau yang lebih baru, Anda dapat menargetkan OU bersarang dengan sintaks). OU Name (ou-id-1234 Untuk informasi lebih lanjut, lihat topik berikut di GitHub.

Setelah Anda mengisi parameter acara, Step Functions berjalan dan memanggil penyesuaian yang sesuai. AFT dapat memanggil maksimal 5 penyesuaian sekaligus. Step Functions menunggu dan mengulang sampai semua akun yang cocok dengan kriteria acara selesai.

Langkah 3: Pantau output AWS Step Function dan saksikan AWS CodePipeline berjalan

• Output Step Function yang dihasilkan berisi ID akun yang cocok dengan sumber peristiwa masukan Fungsi Langkah.

• Arahkan ke AWS CodePipeline di bawah Alat Pengembang dan lihat pipeline penyesuaian yang sesuai untuk ID akun.

Pemecahan masalah dengan penelusuran permintaan kustomisasi akun AFT

Alur kerja kustomisasi akun yang didasarkan pada log AWS Lambda emit yang berisi akun target dan ID permintaan kustomisasi. AFT memungkinkan Anda melacak dan memecahkan masalah permintaan kustomisasi dengan Amazon CloudWatch Logs dengan menyediakan kueri Wawasan CloudWatch Log yang dapat Anda gunakan untuk memfilter CloudWatch Log yang terkait dengan permintaan penyesuaian berdasarkan akun target atau ID permintaan kustomisasi. Untuk informasi selengkapnya, lihat Menganalisis data log dengan CloudWatch Log Amazon di Panduan Pengguna CloudWatch Log Amazon.

Untuk menggunakan Wawasan CloudWatch Log untuk AFT

1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

2. Dari panel navigasi, pilih Log, lalu pilih Wawasan log.

3. Pilih Kueri.

4. Di bawah Contoh kueri, pilih Account Factory untuk Terraform, lalu pilih salah satu kueri berikut:

   • Log Kustomisasi berdasarkan ID Akun

     catatan

     Pastikan untuk mengganti “ID AKUN-AKUN ANDA” dengan ID akun target Anda.

     fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
     | sort @timestamp desc
     | filter log_message.account_id == "YOUR-ACCOUNT-ID" and @message like /customization_request_id/

   • Log Kustomisasi dengan ID Permintaan Kustomisasi

     catatan

     Pastikan untuk mengganti “YOUR-CUSTOMIZATION-REQUEST-ID” dengan ID permintaan kustomisasi Anda. Anda dapat menemukan ID permintaan kustomisasi Anda di output mesin AWS Step Functions status kerangka kerja penyediaan akun AFT. Untuk informasi selengkapnya tentang kerangka kerja penyediaan akun AFT, lihat pipeline penyediaan akun AFT

     fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
     | sort @timestamp desc
     | filter log_message.customization_request_id == "YOUR-CUSTOMIZATION-REQUEST-ID"

5. Setelah Anda memilih kueri, pastikan untuk memilih interval waktu, lalu pilih Jalankan kueri.